Під час конференції з Black Hat Europe відбулась онлайн-церемонія Pwnie Awards 2020. На ній фахівці з кібербезпеки обирають визначні проєкти в цій галузі — найбільші вразливості, найгірші реакції й інші епічні досягнення. Ось переможці цього року:
Серверний баг року: BraveStarr — експлойт дистанційного виконання коду в демоні Telnet на серверах Fedora 31.
Найкращий баг з боку клієнта: безклікова MMS-атака на телефони Samsung, яку помітила команда Google Project Zero.
Помилка розширення привілеїв: Checkm8 — невиправний апаратний джейлбрейк у семи поколіннях мікросхем Apple (від чипів A5 до A11, тобто від пристроїв iPhone 4S до iPhone 8 й iPhone X).
Найкраща криптографічна атака: Zerologon — баг у протоколі автентифікації Microsoft Netlogon. Виконується, якщо додати нулі в певні параметри автентифікації.
Найінноваційніше дослідження: TRRespass — обхід захисту TRR і виконання атак Rowhammer на сучасних картах RAM.
Найгірша реакція постачальника (на повідомлення про вразливість): переможцем номінації став Даніель Дж. Бернштейн (Daniel J. Bernstein), який не виправив баг у qmail, відомий з 2005 року.
Найбільш недооцінене дослідження: виявлення вразливостей CVE-2019-0151 і CVE-2019-0152 у технологіях Intel: в режимі управління системою (SMM) і в технології надійного виконання (TXT).
Найбільш епічний провал: CurveBall — баг Microsoft у реалізації Elliptic Curve Cryptography на Windows, помилка дозволяла легко підробити HTTPS-сайти й легітимні застосунки.
Епічне досягнення року: нагороду отримав Ґуанг Ґонґ (Guang Gong), відомий китайський дослідник, який знайшов три вразливості, що дозволяли дистанційно контролювати пристрої Android Pixel (PDF з дослідженням).
Ще немає коментарів